СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
16 января
#ИБ#Инфра

RedVDS: инфраструктура для массовых фишинг-атак и обхода MFA

Microsoft Threat Intelligence выявила, что поставщик виртуальных выделенных серверов — RedVDS — стал ключевой инфраструктурной платформой для множества финансово мотивированных киберпреступников. На протяжении последнего года сервера этой инфраструктуры использовались в кампаниях по BEC, массовому фишингу, захвату учетных записей и иным финансовым мошенничествам в различных отраслях, особенно в регионах с развитой банковской инфраструктурой: в США, Великобритании, Канаде и европейских странах.

Ключевые наблюдения

Расследование Microsoft показало, что инфраструктура RedVDS имеет специфическую операционную модель, которая делает её привлекательной для злоумышленников:

  • Поставляются виртуальные выделенные серверы (VDS), клонируемые из одного стандартного образа 2022, в результате чего во многих развертываниях используется одно и то же имя компьютера — аномалия, которая может служить индикатором вредоносной активности.
  • Низкая стоимость и разрешительный режим предоставления ресурсов способствуют массовому использованию инфраструктуры злоумышленниками.
  • RedVDS выступает как инфраструктурный ресурс, а не как вредоносное ПО, однако служит платформой для развертывания сложных операций с минимальным контролем со стороны провайдера.

«Единообразие конфигураций и предсказуемая среда развертывания может быть ключевым показателем вредоносной активности», — отмечает Microsoft Threat Intelligence.

Как используется инфраструктура

Злоумышленники арендовали серверы RedVDS для развертывания согласованного набора инструментов и процедур. В ходе расследования были выявлены следующие компоненты и практики:

  • наборы для фишинга (phishing kits);
  • сборщики адресов электронной почты и списков рассылки;
  • инструменты массовой рассылки и автоматизированные скрипты для импорта списков адресатов и управления доставкой фишинговых писем;
  • механизмы сборa и хранения сеансовых cookie, применяемые для обхода MFA и сохранения долгосрочного доступа к скомпрометированным учетным записям;
  • развертывание доменов-homoglyph, имитирующих названия легитимных организаций для схем имперсонации и социальной инженерии (например, поддельные счета-фактуры и просьбы о переводе средств).

Технологические и организационные последствия

Комбинация предсказуемой инфраструктуры и готовых инструментов позволила злоумышленникам быстро масштабировать фишинговые кампании и упрощала этап разведки целей. Автоматизация процессов — от загрузки адресных списков до управления доставкой писем — ускоряла развертывание атак и повышала их эффективность.

География атак и целевые сектора

Основным полем активности оказались страны с развитой банковской системой: США, Великобритания, Канада и ряд европейских государств. Наиболее пострадавшие сектора — организации, осуществляющие финансовые транзакции и обрабатывающие электронную переписку, где BEC и фишинг дают наибольшую прибыль злоумышленникам.

Детекция и рекомендации

Microsoft Defender XDR зафиксировал широкий набор подозрительных действий, связанных с серверами RedVDS, и задокументировал соответствующие методы атак, чтобы помочь организациям обнаруживать и смягчать последствия компрометаций. В частности обращается внимание на следующие моменты, полезные для обнаружения:

  • повторяющееся использование одинаковых имен компьютеров или идентичных конфигураций среди серверов сторонних провайдеров;
  • массовые рассылки с серверов, ранее не ассоциированных с почтовой активностью организации;
  • аномальная активность по экспорту/сохранению cookie и попытки обхода MFA;
  • использование доменов-homoglyph в корреспонденции и выписках.

Вывод

Случай с RedVDS наглядно демонстрирует, как инфраструктурные провайдеры при слабом контроле и однообразных конфигурациях могут непреднамеренно облегчать деятельность финансовых киберпреступников. Организациям, особенно в финансовой сфере, стоит повышать внимание к аномалиям в почтовой инфраструктуре и активности внешних серверов, а также использовать возможности платформ типа Microsoft Defender XDR для раннего обнаружения и реагирования.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: